词条 | worm.win32.otwycal.g |
释义 | 病毒名称: Worm.Win32.Otwycal.g 病毒类型: 蠕虫 文件 MD5: 4EB719473F0B2AECB412EC72F879D1B7 危害等级: 5 文件长度: 15,148 字节 感染系统: Windows98以上版本 开发工具: Microsoft Visual C++ 6.0 加壳类型: WinUpack 0.39 1、该病毒属蠕虫类,病毒运行后复判断进程列表中是否存在smss.exe进程,若不存在程序退出模块; 2、判断程序是否为%DriveLetter%\\MSDOS.bat,若是用资源管理器打开该驱动器后返回; 3、删除文件%Windir%\\Tasks\\0x01xx8p.exe后,将自身移动到该位置,并更改为该文件名; 4、检测进程中是否有avp.exe进程,如果有,修改系统时间为2004年1月1日9时1分,使卡巴主动防御过期失效,且每4000ms重新设置一次时间; 5、修改当前进程的令牌权限,复制%System32%\\spoolsv.exe到%Windir%\\Tasks\\poolsv.ext;修改%Windir%\\Tasks\\poolsv.ext,将最后一个节(.rsrc)节名改为.wycao,并在该节尾部写入病毒代码,复制%System32%\\spoolsv.exe到%System32%\\dllcache\\spoolsv.exe,移动%System32%\\spoolsv.exe到%Windir%\\Tasks\\poolsv.brk移动修改后的%Windir%\\Tasks\\poolsv.ext到%System32%\\spoolsv.exe,移动成功后退出,否则删除文件%System32%\\spoolsv.exe;移动修改后的%Windir%\\Tasks\\poolsv.ext到%System32%\\spoolsv.exe; 6、查找进程列表如果有avp.exe、kvsrvxp.exe、kissvc.exe进程,将其结束; 7、判断进程中是否有explorer.exe1进程,若存在使其崩溃; 8、创建线程连接网络下载35个病毒文件,一个为arp扫描工具,一个添加新用户,其他均为盗号工具; 9、试图创建线程对各类文件进行感染,未能成功; 10、复制自身到各驱动器根目录下,更名为MSDOS.bat,并衍生配置文件autorun.inf; 11、衍生zzz.sys到系统启动器根目录下,创建服务启动该文件后删除该文件,并将服务设置为禁用。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。